Реестр Windows

Консультации, советы начинающим.

Модератор: pruss

Re: Вопрос по регистрационным сведениям MS Office

Сообщение Igor Mikhaylov » 06 сен 2010, 10:22

slavok писал(а):Антипов Максим, спасибо за ключ, но он немного другой....нашел кучу бинарных данных, попробую расшифровать....

Этот ключ отображает верные данные для Office 2007:

Пример:
[HKEY_CURRENT_USER\Software\Microsoft\Office\Common\UserInfo]
"UserName"="test123"
"UserInitials"="tt"
"CompanyName"="Company Name"
"Company"="Company Name"


У более старых офисов все вроде бы должно лежать в кусте [HKEY_CURRENT_USER\Software\Microsoft\Office\X.0]
Где X.0 может быть:
8.0 для Office 97
9.0 для Office 2000
10.0 для Office XP
11.0 для Office 2003

X.0 = 12.0 для Office 2007
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопрос по регистрационным сведениям MS Office

Сообщение slavok » 06 сен 2010, 10:26

спасибо за конкретный ответ!!!!
но у меня на 2003 офисе нет в подпапке common папки userinfo....ни на моем ни на жуликовском....
буду искать!!
но спасибо что натолкнули на мысль!!
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Вопрос по регистрационным сведениям MS Office

Сообщение Владимир Коршунов » 06 сен 2010, 11:16

Если речь идет про имя и компанию, которые указываются при установке офиса, то можно поискать в ветке:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00004119110000000000000000F01FEC\InstallProperties

Смотреть надо ключи: RegCompany и RegOwner.

где
  • S-1-5-18 - Security IDentifier пользователя (SID)
  • 00004119110000000000000000F01FEC - это GUID редакции офиса, является перевертышем от ветки HKLM\SOFTWARE\Microsoft\Office\14.0\Registration\{91140000-0011-0000-0000-0000000FF1CE} или HKLM\Microsoft\Windows\CurrentVersion\Uninstall\{91140000-0011-0000-0000-0000000FF1CE}

Пример приведен для MS Office 2010, для других версий и редакций будут отличаться GUID'ы
Владимир Коршунов
Член клуба
 
Сообщения: 23
Зарегистрирован: 27 май 2009, 11:48
Откуда: ИнфоБиС, Саратов
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Реестр Windows

Сообщение andre_m » 06 сен 2010, 11:23

MAC прописывается в реестре если он менялся программно.
В ином другом случае он по умолчанию нигде не фиксируется.
Да и зачем, т.к. используется только протоколом низкого уровня ARP)

Хотя у нас как-то пытались назначить экспертизу - искали похищенный ноут по MAC-адресу.
Доводы, что MAC полезен только в локальных сетях не подействовали.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Реестр Windows

Сообщение Антипов Максим » 06 сен 2010, 12:48

В реестре семерки он кстати прописан, хотя не менялся никаким образом...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Реестр Windows

Сообщение Igor Mikhaylov » 06 сен 2010, 19:32

andre_m писал(а):MAC прописывается в реестре если он менялся программно.
В ином другом случае он по умолчанию нигде не фиксируется.
Да и зачем, т.к. используется только протоколом низкого уровня ARP)

Поискать MAC-адрес можно:
1) В кусте "Windows Genuine Advantage" ветка реестра HKLM\SOFTWARE\Microsoft\Windows Genuine Advantage
2)В кусте HKLM\SYSTEM\ControlSet00x\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} - 000x в этих разделах параметром "NetworkAddress" задается MAC-адрес.
3)andre_m, обрати внимание. Однако, вероятно, в Вашем случае MAC-адрес следует поискать в файлах .LNK, так как они, в том числе, содержат MAC-адрес компьютера. :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Реестр Windows

Сообщение Антипов Максим » 06 сен 2010, 23:44

Igor Michailov писал(а):Поискать MAC-адрес можно:
1) В кусте "Windows Genuine Advantage" ветка реестра HKLM\SOFTWARE\Microsoft\Windows Genuine Advantage
Такого куста конкретно в моем случае и в помине нет...

Igor Michailov писал(а):2)В кусте HKLM\SYSTEM\ControlSet00x\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} - 000x в этих разделах параметром "NetworkAddress" задается MAC-адрес.
Как раз этот раздел указан в "инструкциях" по подмене МАС... как уже отписался - нет там такого...

Igor Michailov писал(а):3)andre_m, обрати внимание. Однако, вероятно, в Вашем случае MAC-адрес следует поискать в файлах .LNK, так как они, в том числе, содержат MAC-адрес компьютера. :wink:
Опа-на... запамятовал!!! :oops: Спасибо за упоминание - сам же тему поднимал... Зациклился я на реестре... Только вот здесь: _http://computer-forensics-lab.org/forum/viewtopic.php?f=9&t=454 ставят под большое сомнение достоверность сей информации...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Реестр Windows

Сообщение Igor Mikhaylov » 07 сен 2010, 02:52

Антипов Максим писал(а):Только вот здесь: viewtopic.php?f=9&t=454 ставят под большое сомнение достоверность сей информации...

На безрыбье и рак рыба. :mrgreen:

По MAC-адресу можно установить производителя сетевой карты. Также, независимо, это можно установить по значению, в реестре, Vendor ID установленной сетевой карты. Сравните полученные данные. Думаю, это придаст Вам уверенности в правильности полученного результата.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопрос по регистрационным сведениям MS Office

Сообщение slavok » 07 сен 2010, 10:17

всем спасибо за помощь!!!
сведения о пользователе лежат HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\UserInfo для 11 версии, все в битовых данных которые легко переводятся в текст!!!
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Реестр Windows

Сообщение Антипов Максим » 07 сен 2010, 14:47

Igor Michailov писал(а):На безрыбье и рак рыба. :mrgreen:
По MAC-адресу можно установить производителя сетевой карты. Также, независимо, это можно установить по значению, в реестре, Vendor ID установленной сетевой карты. Сравните полученные данные. Думаю, это придаст Вам уверенности в правильности полученного результата.

Спасибо за помощь!
На этой страничке: _http://www.cavebear.com/archive/cavebear/Ethernet/vendor.html нашел нужный МАС - он единственный оказался, остальных, что в ярлыках еще нашел, тут не представлено (видимо потому как паленые...). Он кстати совпадает со значениями в реестре "Manufacturer", где про драйвер устройства написано. В реестре, сдается мне, в моем случае самого МАС'а нет...
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Реестр Windows

Сообщение Igor Mikhaylov » 18 апр 2011, 09:28

"Вкусный" материальчик по теме ветки. :wink:

Харлэн Карви

Криминалистическое исследование Windows.
Глава 4.
Анализ системного реестра
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Реестр Windows

Сообщение zek » 08 апр 2012, 22:25

"HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\UserInfo" - именно здесь хранятся ключи реестра: "UserName" и "Company".
Примечание: вместо "11.0" могут быть другие значения, которые зависят от версии установленного "Майкрософт Офис". В данном случае - 2003.
Аватара пользователя
zek
Член клуба
 
Сообщения: 29
Зарегистрирован: 07 апр 2012, 22:55
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Реестр Windows

Сообщение zek » 08 апр 2012, 22:29

Хочу сказать, что значение МАС-адреса в реестре будет присутствовать только тогда, когда пользователь задал его вручную. Попробуйте.
Если же МАС-адрес не изменялся, т.е. адаптер имеет вшитое производителем значение, то в реестре будет отсутствовать его значение.
Аватара пользователя
zek
Член клуба
 
Сообщения: 29
Зарегистрирован: 07 апр 2012, 22:55
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Реестр Windows

Сообщение zek » 08 апр 2012, 22:33

А вот и ссылочка с информацией об имени пользователя и компании, на которых зарегистрирован "Майкрософт Офис 2003" -> http://support.microsoft.com/kb/821550/ru
Аватара пользователя
zek
Член клуба
 
Сообщения: 29
Зарегистрирован: 07 апр 2012, 22:55
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Реестр Windows

Сообщение Aital » 24 сен 2012, 18:01

Вот интересно почему в этой теме ещё не упомянул о http://www.gaijin.at/dlregreport.php ?
Aital
 
Сообщения: 55
Зарегистрирован: 21 фев 2012, 13:34
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Пред.След.

Вернуться в Помощь новичкам

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron